Den amerikanske regering har taget et markant skridt, som kan få betydning langt ud over USA’s egne forsvarsindkøb.
Det amerikanske Department of War har med øjeblikkelig virkning sat implementeringen af anden fase af Cybersecurity Maturity Model Certification (CMMC) på pause. Beslutningen betyder, at de planlagte krav om tredjepartscertificering af tusindvis af forsvarsleverandører udskydes, mens hele ordningen gennemgås.
Det er ikke blot en teknisk justering.
Det er et signal om, at USA nu prioriterer produktionskapacitet og industriel hastighed højere end bureaukratiske compliance-processer.
“Arsenal of Freedom” skal bygges hurtigere
Beslutningen indgår i den nye amerikanske strategi “Forging the Arsenal of Freedom”, hvor Pentagon ønsker at accelerere produktionen af våben og samtidig tiltrække flere virksomheder til den amerikanske forsvarsindustri.
Ifølge Department of War har de nuværende CMMC-regler udviklet sig til en barriere for især små og mellemstore virksomheder.
Mange virksomheder har peget på:
- meget høje certificeringsomkostninger
- lange ventetider på godkendelser
- mangel på akkrediterede auditorer
- betydelige administrative byrder
Konsekvensen har været, at virksomheder ganske enkelt har valgt forsvarsmarkedet fra.
Pentagon vender logikken på hovedet
Hvor CMMC oprindeligt skulle hæve cybersikkerheden gennem omfattende tredjepartsrevisioner, siger Pentagon nu direkte, at kravene risikerer at skade den amerikanske forsvarsindustri.
Indtil videre accepteres derfor fortsat Level 1- og visse Level 2-selvevalueringer, mens et nyt reformudvalg får 60 dage til at komme med forslag til en enklere model.
Budskabet er tydeligt:
Forsyningssikkerhed, innovation og produktionskapacitet vurderes nu som mindst lige så kritiske som dokumenteret compliance.
Hvad betyder det for Europa?
Udviklingen bliver interessant for europæiske virksomheder.
Både NATO og EU har de seneste år bevæget sig mod stadig flere krav til cybersikkerhed, dokumentation, NIS2, certificeringer og compliance.
Men USA sender nu et andet signal:
Hvis kravene bliver så omfattende, at de reducerer antallet af leverandører, bliver de et sikkerhedsproblem i sig selv.
Det kan meget vel blive en debat, som også kommer til Europa.
For de europæiske forsvarsindustrier står over for præcis den samme udfordring:
Hvordan øger man produktionen markant uden samtidig at drukne virksomhederne i administrative krav?
Kan få betydning for danske virksomheder
For danske virksomheder med aktiviteter mod det amerikanske forsvarsmarked skaber beslutningen både usikkerhed og muligheder.
På kort sigt bliver presset for at opnå de omfattende CMMC Phase II-certificeringer mindre.
På længere sigt kan reformen føre til et mere fleksibelt system, hvor fokus flyttes fra omfattende dokumentation til reel risikostyring og hurtigere adgang til forsvarsmarkedet.
Samtidig viser beslutningen endnu en tendens i amerikansk forsvarspolitik:
Industripolitik er blevet sikkerhedspolitik.
Hvor tidligere års fokus var at stille flere krav til leverandørerne, handler det nu om at sikre, at der overhovedet er nok virksomheder tilbage til at producere de våben, ammunition og teknologier, som Vesten har akut behov for.
Forsvarsoverblikkets vurdering
Beslutningen er mere end en justering af et cybersikkerhedsprogram.
Den illustrerer et grundlæggende skifte i amerikansk forsvarstænkning.
Efter flere år med stigende regulering erkender Pentagon nu, at den største risiko ikke nødvendigvis er utilstrækkelig dokumentation – men manglende produktionskapacitet.
Det bliver derfor interessant at følge, om NATO og EU vælger samme kurs, eller om Europa fastholder en mere regelbaseret tilgang, mens USA prioriterer hastighed, volumen og industriel mobilisering.
I en tid, hvor både Ukraine-krigen og den geopolitiske udvikling kræver hurtig opskalering af forsvarsproduktionen, kan denne beslutning vise sig at blive begyndelsen på en bredere omlægning af, hvordan den vestlige forsvarsindustri reguleres.